Diese Woche zum Thema Sicherheit: IoT im Whirlpool, App Double Fail und FreeBSD BadBeacon

[Eaton Zveare] kaufte einen Jacuzzi-Whirlpool und gab sich viel Geld für das SmartTub-Add-on, das den Whirlpool mit dem Internet verbindet, sodass Sie Temperatur, Beleuchtung usw. aus der Ferne steuern können. Er wusste nicht, dass er gleich etwas entdecken würde ein Albtraum von Sicherheitsproblemen. Denn wie wir alle wissen, steht das S im IoT für Sicherheit. In diesem Fall kam die Registrierungs-E-Mail von smarttub.io, daher war es naheliegend, diese URL in einem Webbrowser aufzurufen, um zu sehen, was dort war. Die Seite zeigte eine Anmeldeaufforderung, also gab [Eaton] die Anmeldeinformationen ein, die er gerade generiert hatte. „Nicht autorisiert“ Nun, das ist nicht überraschend, aber was sehr seltsam war, war das Aufblitzen eines Dashboards, das kurz vor der Autorisierungsbeschwerde erschien. Könnten das echte Daten gewesen sein, die versehentlich gesendet wurden? Ein Bildschirmschreiber beantwortete diese Frage und enthüllte, dass tatsächlich eine Tabelle mit gültig aussehenden Daten geladen war.

Wenn Sie im JavaScript der Seite herumgraben, wird der Anmeldeablauf angezeigt. Die Seite verwendet den Auth0-Dienst, um Anmeldungen zu verarbeiten, und dieser Dienst sendet ein Zugriffstoken zurück. Die Seite sendet dieses Zugriffstoken direkt an den Auth0-Dienst zurück, um Benutzerrechte zu erhalten. Wenn der angemeldete Benutzer kein Administrator ist, erfolgt die Umleitung. Wir wissen jedoch bereits, dass einige echte Daten geladen werden. Es scheint, dass die Datenbeschränkungen alle auf der Clientseite implementiert sind und das Backend nur ein gültiges Zugriffstoken für Datenanforderungen benötigt. Was würde passieren, wenn die Antwort von Auth0 geändert würde? Es gibt ein paar Ansätze, um dies zu erreichen, aber er entschied sich dafür Fiedler. Schreiben Sie die Antwort so um, dass das Front-End davon ausgeht, dass Sie ein Administrator sind, und dass Sie dabei sind.

Dieser Ansatz scheint Administratorzugriff auf alle SmartTub-Administratorsteuerelemente zu erhalten, obwohl [Eaton] nicht versucht hat, tatsächlich Änderungen vorzunehmen, um festzustellen, ob er auch Schreibzugriff hatte. Dies reichte aus, um den Fehler aufzuzeigen, und Änderungen vorzunehmen, wäre ein Flirt mit dieser gefährlichen Linie, die Forschung von Computerkriminalität trennt. Das eigentliche Problem begann, als er versuchte, die Schwachstelle offenzulegen. SmartTub hatte keinen Sicherheitskontakt, aber eine E-Mail an ihre Support-E-Mail-Adresse löste eine Antwort aus, in der nach Details gefragt wurde. Und nachdem die Details geliefert wurden, völlige Funkstille. Verärgert wandte er sich schließlich an Auth0 und bat sie, einzugreifen. Ihre Lösung bestand darin, den Stecker an einem der beiden URL-Endpunkte zu ziehen. Nachdem sie sechs Monate lang versucht hatten, Jacuzzi und SmartTub über ihre schwerwiegenden Sicherheitsprobleme zu informieren, wurden schließlich beide Admin-Portale gesichert.

Joggen weg von der Sicherheit

Es gibt zwei Ebenen des Scheiterns in dieser Geschichte über die Trainings-App Strava. Strava ermöglicht es seinen Benutzern, ihr Laufen, Radfahren und Wandern zu verfolgen. Aus Datenschutzgründen gibt es eine Option, den Standort des Benutzers zu verbergen, aber es stellt sich heraus, dass eine geschickte Verwendung der Heatmap- und Segmentfunktionen diesen Schutz zunichte machen kann. Laden Sie Läufe von einem falschen Benutzer hoch, und die App vergleicht Ihren Lauf auf hilfreiche Weise mit anderen Benutzern in der Umgebung, ob versteckt oder nicht. Diese Liste von Benutzern würde es einem engagierten Ermittler ermöglichen, herauszufinden, wo Einzelpersonen ihre Zeit verbracht haben. Der Schwerpunkt dieser Forschung lag auf der Verfolgung von Militärangehörigen, was einige vorhersehbar interessante Ergebnisse ergab.

Und das ist der zweite Sicherheitsfehler. Das israelische Militär erlaubt seinen Soldaten, sogar Mitgliedern der Spezialeinheiten, eine App zu verwenden, die mit GPS-Standorten nach Hause telefoniert. Selbst wenn es keine leicht auszunutzende Sicherheitslücke in der App gäbe, ist es immer noch ein schreckliches Betriebssicherheitsproblem. Die Forschung wurde Strava offengelegt, die den in der Forschung verwendeten gefälschten Benutzer entfernte. Es ist unklar, ob die App-Hersteller das Problem tatsächlich angegangen sind. Das israelische Militär gibt an, dass es Verfahren einführt, um zu versuchen, diese Art von Datenlecks in Zukunft zu verhindern.

OpenSSL AVX512-Fehler

Es gibt einen Fehler in OpenSSL 3.0.4, der möglicherweise besonders schlimm ist, tritt aber nur auf CPUs mit den AVX512-Erweiterungen auf. Das Problem wird in ausgelöst ossl_rsaz_mod_exp_avx512_x2(), die einen Anruf tätigt bn_reduce_once_in_place(). Der Aufruf enthält den Wert factor_size, was die Anzahl der zu verarbeitenden Wörter sein soll, aber der alte Code sendete stattdessen die Bitgröße. Dies funktionierte die meiste Zeit, führte aber in bestimmten Fällen zu einem Heap-Pufferüberlauf. Der gruselige Teil davon ist, dass es durch einen TLS-Handshake und andere möglicherweise von Angreifern kontrollierte Eingaben ausgelöst werden kann. Das einzige, was fehlt, um dies als 10.0 CVSS CVE zu bezeichnen, ist eine tatsächliche Demonstration der Ausbeutung. So ist es einfach, einen Absturz zu demonstrieren. Eine Version 3.0.5 wird in Kürze veröffentlicht, enthält die Korrektur, aber es ist unklar, wann das passieren wird. Die meisten Distributionen scheinen die Auslieferung der Version 3.0.4 zu verzögern und auf die Behebung dieses potenziell schwerwiegenden Problems zu warten.

FreeBSD BadBeacon

Ich habe mir die Freiheit genommen, den offensichtlichen Namen für diese Schwachstelle zu wählen, BadBeacon. Entdeckt von [m00nbsd], es ist ein einfacher Haufenüberlauf, aber dieser gibt dem Angreifer die Kontrolle darüber, wie viele Bytes geschrieben werden sollen, und den Inhalt dieser Bytes. Dies ist ein Problem bei FreeBSDs Umgang mit WiFi-Beacon-Frames. Ein Frame ist im Wesentlichen ein WiFi-Paket, und ein Beacon ist das Paket, das die Details eines WiFi-Netzwerks ankündigt. Es gibt viele mögliche Felder in einem Beacon, und viele davon erfordern dedizierte Codepfade, um sie zu verarbeiten.

Ein solches Feld ist der Mesh-ID-Wert. Es enthält eine Länge und einen Wert, und der FreeBSD-Kernel nimmt diese als Eingaben für a memcpy() Aufruf in einen Puffer fester Größe. Die Art und Weise, wie Daten in der enthaltenden Struktur angeordnet sind, überschreibt das Überlaufen dieses Puffers auch eine andere Datenstruktur, die in einem Datenzeiger und einem Längenwert endet. Dieser Datenzeiger wird dann als Zielort eines anderen verwendet memcpy() Anruf. Es ist ein „Write-What-Where“-Primitiv, auch bekannt als eine einfache Technik, um nahezu beliebige Daten überall zu schreiben.

Die Richtung, die sie als nächstes einschlugen, bestand darin, eine Kernel-Hintertür in einem ungenutzten Speichersegment einzurichten und diesen Code dann in einen Teil des Frame-Verarbeitungscodes einzuhängen. Es funktioniert als Einweg-Kernel-Hintertür. Ihr Proof-of-Concept-Code gibt einfach eine Nachricht an das Kernel-Protokoll aus, wäre aber ziemlich leicht zu bewaffnen. FreeBSD hat den Fehler im April gepatcht. Es ist unklar, wann oder ob pfSense ein Update mit dem Fix veröffentlicht hat, obwohl es wahrscheinlich passiert ist und den CVE-Fix CVE-2022-23088 einfach nicht angekündigt hat.

Das Linux-Syslogk-Rootkit

Es gibt ein besonders heimliches Kernel-Rootkit, Syslogk, der in freier Wildbahn lauert. Die Version des Rootkits, die Forscher bei Avast untersuchten, schien auf Kernel von Centos 6 und ähnlichen Ära abzuzielen. Es unternimmt große Anstrengungen, um zu verschwinden, versteckt seine Dateien und löscht sich sogar selbst aus der Liste der geladenen Kernel-Module. Es gibt eine versteckte Funktion, die eine 1 schreibt /proc/syslogk, das die Stealth-Funktionen ausschaltet. Wenn Sie also einen älteren Server haben, der möglicherweise kompromittiert wurde, versuchen Sie, an diesem Ort zu stöbern, um zu sehen, ob etwas passiert.

iOS-Infektion über das DCP

Wenn Sie die Sicherheit des Hauptprozessors nicht knacken können, Vielleicht können Sie durch eine Co-Prozessor-Hintertür gehen? Genau das macht eine gefälschte Vodaphone-App auf dem iPhone. Der Display Co-Processor (DCP) ist ein neuer Abschnitt des M1 SoC, und diese bösartige App verwendet ihn in einem ihrer gebündelten Exploits. Die Beschreibung ist detailliert und ausführlich, wie es normalerweise bei Google Project Zero-Beiträgen der Fall ist. Anstatt in die Details einzutauchen, überlasse ich Ihnen einfach die Gedanken von [Hector Martin], als wahrscheinlich führender Experte für den M1-Chip außerhalb einer Handvoll Apple-Ingenieure:

Ha, ein DCP-basierter Exploit, der vom Userspace zum DCP und zurück zum Kernel springt. Süß.

Erinnern Sie sich, was ich über M1-Koprozessoren gesagt habe, die das System nicht pwnen können? Vorausgesetzt, Ihr Treiber implementiert „sudo pwn the system“ nicht wie Apples 😅.https://t.co/3uNVBVrD4F

- Hector Martin (@ marcan42) 24. Juni 2022

Generative Datenintelligenz

Diese Woche in Sicherheit: IoT im Whirlpool, App Double Fail und FreeBSD BadBeacon

Joggen weg von der Sicherheit

OpenSSL AVX512-Fehler

FreeBSD BadBeacon

Das Linux-Syslogk-Rootkit

iOS-Infektion über das DCP

Laut der US-Luftwaffe hat die KI-gesteuerte F-16 Menschen bekämpft

Laut der US-Luftwaffe hat die KI-gesteuerte F-16 Menschen bekämpft

Neueste Intelligenz

Chinesische Wissenschaftler behaupten Durchbruch bei der Entdeckung von F-22-Stealth-Jets: F-22-Stealth-Jets bedroht? – Tech-Startups

Stabilitäts-KI dezimiert das Personal nur wenige Wochen nach dem Ausscheiden des CEO

Stabilitäts-KI dezimiert das Personal nur wenige Wochen nach dem Ausscheiden des CEO

Cisco warnt vor einem massiven Anstieg von Passwort-Spraying-Angriffen auf VPNs

Auburns McCrary Institute und Oak Ridge National Laboratory gehen Partnerschaft beim Regional Cybersecurity Center ein

Quest 2-Zubehör hat einen massiven Preisnachlass erhalten. Ist das ein Ausverkauf?

Chat mit uns